Advokat-86.ru

Помощь адвоката
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Информационная безопасность в цифровом банке

Информационная безопасность в цифровом банке

Банки с каждым годом сокращают количество отделений, предпочитая развивать цифровые каналы взаимодействия с клиентами. По данным «Коммерсанта», в прошлом году российские банки закрыли 10% офисов. «Тинькофф Банк», пионер цифровизации и дистанционного обслуживания в России, позиционирует себя как ИТ-компанию, «Сбербанк» — как «уже не совсем банк». И дело не только в том, что технологические компании выше котируются на бирже: границы между банками, ИТ, ритейлом и финтехом чем дальше, тем больше стираются. Это же касается и внутренних бизнес-процессов.

У банковской цифровизации два базовых преимущества — удобство (для самого банка и для клиентов) и экономия. В числе минусов — новые риски информационной безопасности, включая киберугрозы, которые сопутствуют ИТ-компаниям. В этом посте поговорим о цифровизации банков как раз в контексте обеспечения ИБ. Но для начала — о тенденциях.

Миграция в цифру

Трансформация банков — вопрос не моды, а конкурентноспособности. Когда клиенты «живут» в смартфонах, в соцсетях, странно бороться за них в офлайне. У банков, входящих Топ-50, практически все операции, за исключением разве что банковских ячеек, дублируются онлайн. Та же процедура получения кредита, даже ипотечного, донельзя упрощена и диджитализирована. Причина, конечно, не в том, что банки стремятся облегчить жизнь клиентам. Просто сейчас банкам доступно множество источников информации о них — от кредитной истории до «резюме» правоохранительных органов, а также средства аналитики с применением AI (искусственного интеллекта). Этот инструментарий упрощает и ускоряет процедуру проверки кредитоспособности клиента, а в итоге и выдачу денег.

Учитывая, что у некоторых банков доля дистанционных контактов с клиентами доходит чуть ли не до 100%, необходимость сокращения физических офисов очевидна — их содержание становится нерентабельным. Так, например, «Райффайзенбанк» в ближайшее время собирается закрыть четверть офисов, а в некоторых городах оставит только удаленный формат обслуживания. Вообще, рост количества необанков — банков без отделений, — говорит о том, куда всё движется.

Еще одна причина банковской диджитализации и финансовых вливаний в нее — необходимость создания собственных цифровых продуктов: мобильных приложений, систем дистанционного банковского обслуживания, инструментов для анализа больших данных и сбора статистики, развития веб-сайтов и т. д. Здесь, как и в ИТ, важной стала скорость вывода новых продуктов на рынок.

Потребность в быстром запуске новых финансовых сервисов вынуждает банки прибегать к стратегии ИТ-компаний, специализирующихся на разработке софта, осваивая и соответствующие методики — Agile и CI/CD. Для примера, у того же «Тинькофф Банка» есть собственная сеть центров разработки, где обучаются молодые программисты из регионов — с прицелом на будущее включение в штат. «Сбербанк» еще в 2011 году создал отдельную ИТ-компанию, «СберТех», которая занимается исключительно развитием цифровой экосистемы банка. Цифровая конкуренция между первым российским необанком и мегакорпорацией, выросшей из «Гострудсберкасс», — это то, что среди прочего двигает цифровизацию вперед. Российская банковская сфера по темпам цифровой трансформации, как отмечает аналитическое агентство McKinsey, — одна из лучших в мире.

Другой вопрос, насколько этот «цифровой тур де форс» совпадает с усилиями банков по обеспечению информационной безопасности инфраструктуры. И нет ли между ними тревожного (для клиентов) зазора.

Нерадужная статистика

По данным ФинЦЕРТ — Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере при ЦБ РФ, в прошлом году на российские банки было совершено 700 кибератак. 180 из них — нападения с целью извлечения финансовый выгоды, 100 — DDoS-атаки. Кроме этого, на банки и клиентов было направлено 70 кампаний по распространению вредоносных программ. ФинЦЕРТ зафиксировал 550 интернет-ресурсов, распространяющих вредоносное программное обеспечение, и ВПО-серверов. Ущерб российских банков от атак хакеров составил 58 млн рублей.

Главный метод киберпреступников — социальная инженерия: злоумышленники звонят клиентам как «представители банка», требуя сообщить номер карты (PAN), одноразовый пин-код (OTP) или CVV/CVC-код. Другой популярный инструмент — распространение ВПО; при этом для атак на финансовые организации и клиентов используются email-рассылки с зараженными файлами или гиперссылками на сайты с вредоносами, в том числе с программами-вымогателями.

Немалую роль в той же социальной инженерии играют утечки персональных данных клиентов (ПДн). Новости об очередном «сливе» появляются регулярно. Один из недавних произошел в конце октября 2019: по сообщению «Коммерсанта», на черном рынке выложили на продажу базу данных кредитных клиентов «Сбербанка» с подробными ПДн — паспорта, телефоны, адреса, сумма на счете, сумма остатка и даже аудиозаписи разговоров с банком; в базе содержался 1 млн записей. Годом ранее в общий доступ утекла информация о 420 тыс. записей с ФИО сотрудников «Сбербанка» и логинами для входа в операционную систему; логины, как правило, совпадали с адресами служебной электронной почты. Из других примеров — недавняя утечка данных 3,5 тысяч держателей кредиток «Альфа-банка» и еще столько же — клиентов «Альфастрахования».

В чем причины?

По данным ФинЦЕРТ, большинство случаев реального ущерба для банков — финансовых хищений, утечек клиентских данных и пр. — происходит по трем причинам:

  • Многочисленные нарушения федеральных законов и нормативных актов регулятора в части обеспечения защиты информации — того же Положения № 382-П.
  • Отсутствие должного внутреннего контроля внутри банков и других финансовых организаций (ФИ) по вопросам ИБ (например, не анализируются события безопасности и не устанавливаются соответствующие инструменты).
  • Недостаточная осведомленность сотрудников об угрозах ИБ, включая методы социальной инженерии.

Охотнее прочего банки нарушают Положение № 382-П (447 случаев), которое определяет правила обеспечения безопасности при денежных переводах. Нарушения 382-П разнообразны: нет разграничения прав доступа к защищаемой информации, не выявляются инциденты, не контролируются обновления ПО и актуальные уязвимости, и так далее. В числе других законов и актов, которыми пренебрегают российские банки: № 161-ФЗ, № 395-1, № 325-ФЗ, № 672-П, № 683-П и № 684-П.

В качестве примера, к чему приводят нарушения требований регулятора, ФинЦЕРТ упоминает одну неназванную кредитную организацию, на которую в конце 2018 года была совершена хакерская атака. В результате мошенники осуществили несколько несанкционированных денежных переводов на общую сумму 5,5 млн рублей и 15000 евро. На этом фоне банкам приходится думать не только о защите от прямых внешних атак, но также и над противодействием внутреннему фроду (в том числе с помощью внедрения UBA-программ — User Behavior Analytics), мошенничеству с биометрическими данными, обходу двухфакторной аутентификации и не только.

Читать еще:  Если поставляется улучшенной модификации товара

Заключение

Трансформация банков в ИТ-компании — история, которая, кроме оптимизации технологических процессов, требует и не менее активной оптимизации ИБ. Чем больше банки цифровизуются, тем более реальными для них становятся угрозы, характерные для ИТ-рынка вообще. Пренебрежение рисками информационной безопасности может повлечь для банков как финансовые, так и репутационные убытки. Кроме этого, несоблюдение нормативов, федеральных законов и стандартов ЦБ РФ грозит штрафами, что, в сочетании с уроном от злоумышленников, может поставить банк на грань банкротства.

Один из эффективных способов защитить банк от угроз — обратиться к аудиторской компании, которая может провести экспертную оценку соответствия стандартам ИБ, включая полный аудит информационной безопасности ИТ-инфраструктуры и тест на проникновение, и дать подробные рекомендации по повышению уровня защищенности.

Меры, помогающие обеспечить защиту банковской информации

В банковских информационных системах и базах данных содержится конфиденциальная информация о банковских клиентах, о состоянии их счетов и о том, какие ими проводятся финансовые операции.

То, что информационная безопасность таких данных должна быть превыше всего – факт очевидный. При этом, если быстрый и своевременный обмен и обработка информации отсутствуют – произойдет сбой банковской системы. Поэтому необходимо наличие целой структуры, благодаря которой возможно обеспечение защиты банковской информации и конфиденциальности клиентской базы.

Меры по защите данных такого типа должны осуществляться последовательно:

  • Сперва оценивается и разрабатывается конфиденциальная информация;
  • Оборудуется объект для осуществления защиты.
  • Контролируется эффективность принятых мер.

    Банком может полностью осуществляться его деятельность лишь тогда, когда есть налаженный обмен внутренними данными и присутствует надежная защитная система. Оборудование такой защиты банковских объектов обладает различными формами.

    Специалистами в сфере обеспечения информационной банковской безопасности могут создаваться как разновидности локальных систем, так и централизованных защитных программ.

    При выборе конкретной защитной формы стоит уточнить следующее: нужно продумать вопрос о всевозможных способах взлома и утечки данных. В случае грамотного и профессионального подхода к обеспечению безопасности работа всех банковских отделений будет слаженной – а, значит, финансовые системы будут функционировать беспрерывно.

    Комплекс защитных мер, направленный на предотвращение нарушения конфиденциальности данных обладает следующими конкретными действиями:

  • Контролируется обмен данных, они строго регламентированы.
  • Банковские сотрудники проходят подготовку и соблюдают все требования безопасности
  • Каналы и сервера подвергаются строгому учету
  • Анализируется эффективность.

    В каждом направлении есть различные рабочие этапы. Например, при контроле обмена данных, проводится не только обработка скорости передачи информации, — также своевременно уничтожаются остаточные сведения.

    Чтобы открыть ООО – необходимо наличие учредителей. Учредитель – любое юридическое лицо, то есть какая-либо фирма, либо же физическое лицо, то есть гражданин.

    Решившись на открытие своей фирмы, и составляя бизнес-план, большинство граждан не знают, что именно им необходимо проделать для получения государственной регистрации.

    Доступ к банковским данным защищен с помощью идентификационной системы, то есть ее охраняют пароли или электронные ключи. Работа с сотрудниками, пользующимися банковскими данными, включает в себя различные инструктажи и слежку за выполнением нужных регламентов.

    Каналы и сервера подлежат строгому учету, также есть меры, направленные на обеспечение технической защиты информации и банковской безопасности – то есть защищаются резервные копии, обеспечивается бесперебойное питание оборудования, обладающего ценной информацией, ограничивается доступ к сейфам.

    Чтобы анализировать, насколько эффективны принятые меры, необходимо ведение учета или записи, благодаря которым будет отмечаться работоспособность и действенность используемых средств защиты информации в банковском учреждении.

    Принципы информационной безопасности банка

    Несмотря на множество возможностей взлома и утечки информации, безопасность банковских данных и их конфиденциальность обеспечить вполне возможно.

    Современные методы позволили усовершенствовать систему криптографии, а также реализовать такую меру, как электронная цифровая подпись (ЭЦП). Она служит аналогом собственноручной подписи и имеет непосредственную привязку к электронному ключу, который хранится у владельца подписи. Ключ состоит из двух частей: открытой и закрытой, и защищен специальным кодом.

    Система безопасности в целом – это непрерывный процесс идентификации, анализа и контроля. Существует ряд основных принципов, согласно которым осуществляется обеспечение информационной безопасности банка:

    • своевременное установление и обнаружение проблем;
    • возможность прогнозирования развития;
    • актуальность и эффективность предпринятых мер.

    Также необходимо особо подчеркнуть важность тщательной и регулярной работы с персоналом, поскольку обеспечение безопасности информации во многом зависит от качественного и аккуратного выполнения требований, предъявляемых службой безопасности.

    Безопасность банковских операций

    Для обеспечения безопасности проведения банковских операций, финансовые учреждения используют:
    — надежные методы проведения транзакций;
    — защищенные каналы связи;
    — методы резервного копирования информации;
    — защита от несанкционированного доступа (коды, пароли);
    — разделение прав доступа к информации;
    — определение лимита на проведение операций;
    — специальное программное обеспечение;
    — повышение профессионализма сотрудников, контроль за работой персонала.

    За защиту банковских операций отвечают непосредственно сотрудники, проводящие транзакции, администрация финансового учреждения, работники службы безопасности.

    Минобороны России предлагает установить правовые рамки использования информационного пространства

    Министерство обороны РФ считает жизненно важным обеспечение защищенности автоматизированных систем управления от киберугроз, а также определение четких правил использования информационного пространства в мире, заявил на Инфофоруме заместитель начальника управления Генштаба Вооруженных Сил РФ Андрей Колованов.

    «Невозможно допустить, чтобы в информационном пространстве условия диктовала только одна сторона. Нужно установить ясные и понятные рамки и полномочия, исключающие нарушение правовых основ использования информационного пространства всеми его участниками».

    По его словам, Минобороны России активно развивает автоматизированные средства управления и комплексы автоматизации. «Поэтому жизненно важной становится задача максимальной защищенности этих систем от попыток получения доступа к закрытой информации», — сказал Колованов. По его словам, отставание в этой сфере «может отбросить нас на несколько лет назад».

    Основные меры по обеспечению информационной безопасности Российской Федерации

    Между информационной безопасностью РФ и защищенностью национальных интересов РФ в разных сферах есть прямая связь. Недостаточная защищенность информационного пространства государства приводит ко многим негативным последствиям, таким как утрата важной информации (экономической, политической, научно-технической), нарушения конституционных прав граждан, серьезные экономические потери предприятий.

    Среди целей ИБ — обеспечить технологическую независимость и безопасность функционирования инфраструктуры обработки данных. Для этого государство использует следующие меры:

    • Поддержка производителей отечественных средств защиты информации, например, таких как универсальный шлюз безопасности Traffic Inspector Next Generation.
    • Законодательное ограничение приобретения иностранного программного обеспечения государственными учреждениями и использование преимущественно российского программного обеспечения.

    Информационная безопасность региональных банков

    автор Анатолий Скородумов , дата 19 декабря 2018 г. 10:00:00 MSK

    Читать еще:  Если мужчина овен вдруг охладел

    Финансовые организации исторически, наряду с нефтегазовой отраслью и телекомом, являются одними из лидеров по построению комплексных систем ИБ, использованию в них самых современных технологий и решений. С начала 2000-х гг. в финансовой отрасли действует отраслевой стандарт по ИБ, разработанный Банком России. К 2018 г. вышло уже четыре редакции данного стандарта, и в 2017 г. году на его основе был принят ГОСТ Р 57580.1.–2017 по обеспечению безопасности финансовых операций. Анатолий Скородумов, н ачальник Управления по обеспечению информационной безопасности Банка «Санкт-Петербург», рассказывает о том, как развивается направление ИБ в банках и чего можно ожидать в будущем.

    За прошедший год произошли важные изменения и появились нововведения в законодательстве, связанные с ИБ:

    • вступило в силу постановление европейской комиссии о защите данных (GDPR);
    • издан и вступил в силу закон 167-фЗ «о внесении изменений в отдельные законодательные акты рф в части противодействия хищению денежных средств»;
    • разработан большой пул подзаконных актов в части внедрения единой системы идентификации и аутентификации (ЕСИА).

    Реализация требований этих документов достаточна сложна и затратна. Диджитализация бизнеса, растущее количество изменений в ИТ-инфраструктуре организации, вновь появляющиеся киберугрозы и кибератаки также требуют адекватного реагирования от специалистов по ИБ. В итоге в современных условиях построение комплексной системы ИБ превращается в непрерывный процесс внедрения все новых методов и средств защиты и совершенствования уже существующих.

    Основные типы преступлений в банковской сфере

    Наиболее опасными в финансовых организациях являются атаки на платежную инфраструктуру. в этих случаях банк несет прямые финансовые потери, которые исчисляются десятками и сотнями милллионов рублей.

    Специалисты по ИБ прекрасно помнят серию атак 2016 г. на платежную систему Банка России (атаки на арМ кБр), общий ущерб от которых превысил 1,5 млрд рублей. Свежи в памяти произошедшие в 2016–2017 гг. несанкционированные списания с корреспондентских счетов банков через систему SWIFT.

    Другой опасный тренд последних лет – атаки на процессинговые центры банков с выводом средств через банкоматы. Эти атаки условно можно разделить на две категории. Первая – это заражение подсистемы управления банкоматами или через нее – самих банкоматов, с последующей подачей команды на выдачу наличных. Злоумышленникам остается только в нужный момент подойти к банкомату с рюкзаком достаточного объема и принять купюры. Второй способ – это взлом процессинга с последующим зачислением на заранее полученные карты очень значительных сумм. Далее происходит обналичивание этих средств через банкоматы различных банков.

    Продолжаются атаки злоумышленников на системы дистанционного банковского обслуживания (ДБо) клиентов. В основном они реализуются через заражение устройств, с которых клиенты дистанционно управляют своими счетами. С учетом того что многие банки внедрили технологии подтверждения переводов (операций) одноразовыми кодами, получаемыми, например, через СМС, злоумышленники используют различные методы социальной инженерии для выманивания у клиентов этих кодов. вообще мошенничество с использованием методов социальной инженерии, а проще говоря «развода» клиента, – это еще один из трендов последних двух лет. особенно часто он используется для выманивания у людей данных их платежных карт и одноразовых кодов (3dsec-кодов) подтверждения операций. Злоумышленники даже частично автоматизировали процесс «развода», первоначальный обзвон производится обычно программно. Aвтоинформатор обычно сообщает, что по вашей карте произошла операция и для ее отмены вам необходимо на телефоне нажать любую клавишу. Если вы нажимаете клавишу, автоинформатор якобы переводит вас на службу технической поддержки банка (при этом все выглядит очень натурально), на самом деле вас переключают на «специалиста» по выуживанию данных платежных карт. Действуют злоумышленники очень профессионально, и неподготовленные люди, особенно пожилого возраста, зачастую попадаются на эту удочку.

    И последняя разновидность внешних атак, на которую я хотел бы обратить внимание, – это вымогательство. На общий e-mail банка приходит письмо с угрозой и предложением перечислить необходимую сумму в биткоинах на такой-то электронный кошелек. Варианты угроз могут быть совершенно разными. Могут утверждать, что все компьютеры вашей сети заражены неизвестным вирусом, который не ловит еще ни один антивирус. Могут написать, что процессинг вашего банка взломан и если вы не перечислите требуемую сумму, то потеряете в десятки раз больше. Могут шантажировать тем, что взломали вашу корпоративную сеть и скачали какую-то чувствительную информацию, и если деньги не будут перечислены, они опубликуют эту информацию в открытых источниках. В большинстве случаев это чистый фейк.

    Помимо внешних атак существуют и злоупотребления со стороны работников самой финансовой организации. И вариантов таких нечистоплотных действий достаточно много.

    Элементы системы обеспечения информационной безопасности в банках

    Некоторое время назад систему информационной безопасности обычно делили на две части: защиту периметра вычислительной сети организации и защиту внутренних хостов. В качестве периметровых средств защиты использовались:

    • системы межсетевого экранирования (МсЭ);
    • системы обнаружения/предотвращения атак (IDS/IPS);
    • модули DLP-систем для контроля почтового и Web-трафика;
    • системы контентной фильтрации при доступе работников организации в сеть Интернет;
    • антивирусные средства на почтовом сервере и на прокси-сервере доступа в сеть Интернет и ряд других средств.

    В качестве защиты хостов, как правило, применялись:

    • антивирусные средства;
    • персональные МсЭ;
    • хостовые модули систем IDS/IPS;
    • хостовые модули DLP-систем;
    • средства контроля использования работником периферийных устройств, прежде всего USB-накопителей.

    Многие решения для защиты конечных устройств (Endpoint) стали объединять в себе значительную часть перечисленного функционала.

    В последнее время и в периметровую, и в хостовую части стали добавлять средства защиты от таргетированных атак (средства класса APT, EDR). Кроме того, в последнее время разработчики уделяют внимание взаимодействию периметровых и хостовых средств защиты для повышения эффективности выявления и противодействия современным кибератакам. Поэтому зачастую использование периметровых и хостовых средств защиты одного производителя имеет дополнительные бонусы в части более тесного взаимодействия этих средств между собой.

    Процессный подход

    Конкретное средство защиты – это всего лишь инструмент. А все мы прекрасно знаем, что самый хороший инструмент эффективен только в умелых руках, а мастер может и из топора кашу сварить. Поэтому залогом эффективности использования того или иного средства защиты является правильно выстроенный процесс и квалификация персонала, его осуществляющего. Можно выделить такие процессы верхнего уровня:

    • защита от вредоносного ПО;
    • защита от утечки данных;
    • защита систем электронного документооборота;
    • защита вычислительных сетей;
    • защита информации у мобильных пользователей;
    • управление правами доступа;
    • управление уязвимостями;
    • мониторинг и реагирование на инциденты ИБ;
    • управление информационными активами;
    • управление рисками ИБ;
    • управление соответствием (комплайнсом);
    • безопасная разработка По;
    • повышение осведомленности сотрудников в вопросах ИБ.
    Читать еще:  Если на гражданство подает заявление переселенец

    Специфика ИБ в банковской сфере

    Особенности систем ИБ в банках связаны прежде всего с тем, что в них обрабатывается информация о реальных денежных средствах, расчетных счетах, реальных денежных переводах, а также с тем, что из этих автоматизированных систем осуществляется управление устройствами, выдающими реальные деньги, – банкоматами. Для того чтобы увидеть у себя на счете цифру с 6–7 нулями, не обязательно всю жизнь упорно трудиться, можно просто дописать несколько нулей к уже имеющейся там сумме.

    Поэтому значительные усилия специалистов по ИБ в финансовых организациях направлены на защиту платежной инфраструктуры и платежных процессов.

    В отличие от других организаций, в банках существует понятие банковской тайны – это информация об операциях, счетах и вкладах клиентов и корреспондентов банка. Так как большинство банковских операций и большая часть обрабатываемой в банке информации относятся к банковской тайне, задача обеспечения ее защиты может быть решена только путем построения сложной комплексной системы защиты.

    Схожая ситуация складывается и с защитой персональных данных. В банках они обрабатываются в значительных объемах, и их необходимо защищать в соответствии с законом 152-фЗ «о персональных данных».

    Критерии выбора оборудования и решений

    Требования к поставщикам и производителям оборудования для информационной безопасности достаточно стандартны: функциональность, надежность, простота и удобство эксплуатации при приемлемой стоимости.

    В настоящее время возрастает роль эффективного взаимодействия средств защиты между собой и с системами управления информационной безопасностью. Хорошо, когда разные продукты одного производителя эффективно интегрируются друг с другом, но хочется такого же эффективного взаимодействия и от решений разных производителей.

    Очень желательно, чтобы ведущими игроками в ИТ- и ИБ-секторах вкладывались средства в перспективные исследования и разработки и чтобы системы информационной безопасности совершенствовались не в связи с произошедшими преступлениями, а позволяли предотвратить в том числе совершенно новые, еще ранее неизвестные типы атак.

    Любые решения и сервисы в сфере ИБ требуют постоянного совершенствования и развития. Они должны быть адекватны современным угрозам, которые, в свою очередь, тоже постоянно развиваются и совершенствуются.

    И, безусловно, задача производителей и поставщиков решений по ИБ не только в том, чтобы продать эти решения, а в том, чтобы эти решения эффективно функционировали и приносили организациям, где они работают, реальную пользу. Поэтому требуется активное их участие на этапе как внедрения продукта, так и его эксплуатации.

    Внедрение новых технологий

    Современные системы ИБ стараются максимально использовать все новые технологии. Прежде всего это Big Data, машинное обучение, нейронные сети, искусственный интеллект.

    На самом деле сами принципы выявления и расследования преступлений не сильно изменились. Дедуктивные методы Шерлока Холмса продолжают работать и в электронной среде. Как известно, «дьявол кроется в деталях», но выявить эти детали в современном огромном объеме информации очень непросто. Подобные задачи обычно и решаются системами безопасности с использованием нейронных сетей и элементов искусственного интеллекта. На данный момент эти технологии активно используются в системах фрод-анализа, то есть для борьбы с внешним и внутренним мошенничеством. Но со временем, я думаю, им найдется применение и в других направлениях обеспечения ИБ.

    Достаточно перспективными видятся самообучающиеся системы. Специалистам по ИБ все сложнее угнаться за миллионами изменений в современных цифровых технологиях и сервисах, каждое из которых может нести определенные угрозы. Поэтому все чаще используются системы, основанные на выявлении аномалий. Они строят и постоянно актуализируют «нормальное» поведение объекта или человека и реагируют на существенные отклонения от этого «нормального» поведения.

    Единая система идентификации и аутентификации (ЕСИА)

    Идея единой системы удаленной идентификации интересна и актуальна. Наличие в государстве единой централизованной доверенной системы идентификации и аутентификации граждан позволило бы решить ряд серьезных проблем и снять часть головной боли с банковских специалистов по ИБ.

    Использование данной системы призвано существенно упростить для банков задачу идентификации клиентов в соответствии с 115-фЗ «о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и продвижение своих продуктов и услуг, в том числе в регионах, где нет физического присутствия конкретной финансовой организации.

    Но реальную пользу система ЕСИА принесет только в том случае, если в ней будут храниться биометрические данные значительного числа жителей рф. На данный момент не совсем понятно, что побудит человека регистрировать в системе ЕСИА свои биометрические данные. Если ее наполненность будет на уровне выданных токенов с электронной подписью для доступа к порталу госуслуг, толку от нее никакого не будет.

    У специалистов по ИБ есть серьезные вопросы к выбранной биометрической аутентификации. Понятно, почему в качестве технологии идентификации в есИа выбраны изображение лица и голос. Это единственные технологии биометрической аутентификации, которыми можно охватить значительное число граждан рф, так как они могут быть реализованы с помощью мобильного телефона. Но у них есть серьезные недостатки. Поэтому у меня нет уверенности, что внедрение есИа станет каким-то прорывом в банковской ИБ.

    Прогнозы развития

    В современном мире достаточно сложно заглянуть даже на несколько лет вперед. Все так быстро меняется!

    Очевидно, что направление ИБ в банках (и не только) продолжит активно развиваться. Этому будут способствовать требования законодательства, цифровизация бизнеса, перевод всех процессов в цифровой формат, прежде всего реализация государственных программ по переходу в электронную среду. Участившиеся случаи громких компьютерных преступлений и постоянный рост сумм потерь от них также будут стимулировать данный процесс.

    С учетом все большего переноса бизнеса в электронную среду значимость вопросов обеспечения ИБ будет возрастать. Безопасность продукта или сервиса станет реальным конкурентным преимуществом.

    С течением времени мы в меньшей степени будем использовать наложенные средства защиты, используя встроенные. Это закономерный процесс. основной фокус с точки зрения построения систем ИБ будет направлен на управление системой ИБ.

    Хочется надеяться, что усилия Банка россии в области обеспечения ИБ приведут к тому, что задача по противодействию современным кибератакам уже в ближайшее время будет решаться финансовыми организациями сообща при активной поддержке Банка россии.

    Активно станет развиваться рынок услуг ИБ, так как держать у себя в штате значительное число высококвалифицированных специалистов смогут только самые крупные банки.

    В рамках деловой программы ТБ Форума 2019 состоится конференция «Защитные технологии банка будущего», где будут представлены кейсы о новейших технологиях в финансовом секторе.

  • Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector